Sürekli entegrasyon ve sürekli teslimat (CI/CD) platform üreticisi CircleCI’nin son ihlalini gerçekleştiren saldırganlar, bir mühendisin dizüstü bilgisayarını kötü amaçlı yazılımla tehlikeye atarak, 2FA destekli SSO oturum çerezlerini çalarak ve bunu bir çalışanın kimliğine bürünmek için kullanarak ele geçirildi. uzak yer.
“Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğu için, yetkisiz üçüncü taraf, müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir veri tabanı ve depo alt kümesinden verilere erişebildi ve bunları sızdırabildi.” CircleCI CTO’su Ron Zuber açıkladı.
“Sızdırılan tüm veriler beklemedeyken şifrelenmiş olsa da, üçüncü taraf çalışan bir süreçten şifreleme anahtarlarını çıkardı ve potansiyel olarak şifrelenmiş verilere erişmelerini sağladı.”
CircleCI ihlalinin zaman çizelgesi
Bu ayın başlarında, şirket ihlal edildiğini açıkladığında, müşterileri “CircleCI’de saklanan tüm sırları döndürmeye” çağırdı.
İlerleyen günlerde şirket, müşterilerin bu ihlal nedeniyle yaşayabileceği zararı en aza indirmek için önlemler almaya devam etti, ancak Cuma günü 5’ten az müşterinin bu olay sonucunda üçüncü taraf sistemlere yetkisiz erişimden haberdar olduğunu doğruladı.
Saldırganların hasar vermek için bolca zamanları vardı. Zuber’e göre:
- Mühendisin dizüstü bilgisayarı 16 Aralık 2022’de ele geçirildi
- CircleCI sistemlerine yetkisiz üçüncü taraf erişimi 19 Aralık’ta gerçekleşti.
- Verilerin dışarı sızması 22 Aralık’ta gerçekleşti
Mühendisin dizüstü bilgisayarındaki kötü amaçlı yazılım, şirketin antivirüs yazılımı tarafından tespit edilmedi ve saldırganların çalışanı taklit etmesi de fark edilmedi.
Ancak 29 Aralık’ta, müşterilerinden biri tarafından şüpheli GitHub OAuth etkinliği konusunda uyarıldıklarında, araştırmaya başladılar ve güvenlik ihlaline ilişkin kanıtlar ortaya çıkardılar.
Azaltma ve iyileştirme
Sonraki hafta, hesabı ele geçirilmiş olan çalışanın tüm erişimini kapattılar ve geri kalanının çoğuna üretim erişimini kapattılar, ardından aşağıdakilere devam ettiler:
- Potansiyel olarak açığa çıkan üretim ana makinelerini döndürün
- Project API ve Personal API belirteçlerini iptal edin
- GitHub OAuth belirteçlerini döndürün
- Müşteriler adına tüm Bitbucket belirteçlerini döndürmek için Atlassian ile birlikte çalışın
- AWS belirteçlerinin ele geçirilmiş olabileceğini müşterilere bildirmek için AWS ile birlikte çalışın
Artık müşterilere kendi araştırmalarında yardımcı olmak için uzlaşma göstergelerini de paylaştılar. “16 Aralık 2022’den başlayarak, 4 Ocak 2023’teki açıklamamızdan sonra sır rotasyonunuzu tamamladığınız tarihe kadar sisteminizde şüpheli etkinlik olup olmadığını araştırmanızı öneririz. 5 Ocak 2023’ten sonra sisteme girilen her şey güvenli kabul edilebilir. Zuber, ”diye kaydetti.
Gelecekteki bu tür saldırıları önlemek için yerleştirdikleri ek savunma katmanlarını da ortaya koydu. “Açık olmak istiyoruz. Bir çalışanın dizüstü bilgisayarı bu karmaşık saldırıyla istismar edilirken, güvenlik olayı bir sistem arızasıdır. Bir kuruluş olarak sorumluluğumuz, tüm saldırı vektörlerine karşı koruma sağlayan koruma katmanları oluşturmaktır” dedi.